How to encrypt your data and get safer – a beginners guide

Spätestens seit der NSA Affäre sollte bekannt sein wie viel Regierungen über uns sammeln. Nicht nur die USA, auch die britische Regierung, aber auch die deutsche hat sich mit Aussagen was genau sie sammeln meist zurückgehalten bzw. ist auch nicht konkret genug gegen alles vorgegangen, was ein dementsprechendes Fazit ziehen lässt.

Persönlich muss ich gestehen, dass auch ich das alles meist vernachlässigt hab. Sei es aus Faulheit, sei es aus “wer will denn was von mir?”. Das hat sich über die letzten Monate alles ein wenig verändert und ich nutze und teste hier neue Wege um meine Daten und Datenspuren weiter zu verschlüsseln. Ich möchte hier an der Stelle mal ein wenig Einblick über meine persönlichen Erfahrungen geben, die dem ein oder andere hoffentlich behilflich sein könnten. Leider findet man solche praktischen Guides auch für Laien leider zu selten.

Allgemeines

Wer eine gute Übersicht haben möchte ist hiermit bedient: they-know.org/de (unter “Verteidigung” gibt es auch Maßnahmen)

Was viele hier vergessen: Verschlüsselung bedeutet erhöhte Komplexität für den PC/Server. Das heißt, wenn man etwas verschlüsselt, benötigt das Zeit, wenn man etwas entschlüsselt auch. Wenn ich also eine Datei auf meinem PC speichere und dann öffne, kommt bei der verschlüsselten Variante das verschlüsseln dazu und beim Zugriff das entschlüsseln. Was genau das in der Praxis bedeutet ist ein breites Spektrum. Ich werde hier näher noch darauf eingehen, weil es doch ein wichtiger Punkt ist, der oft vernachlässigt wird.

Eine prinzipielle Unterscheidung muss man zwischen Datenübertragung und Datenspeicherung machen. Bei der Übertragung können diese abgehört werden, soweit sie nicht verschlüsselt sind (z.B. beim Übertragen der Rechnungsadresse beim Einkauf online). Bei der Datenspeicherung legt man irgendwo Daten (gezielt) ab und dort liegen sie je nach dem brach.

Am Schluss sollte man noch von offener und nicht offener Software unterscheiden. Bzw. wenn geschlossen, inwiefern. Offene Software bedeutet vereinfacht: Jeder kann reinschauen, mitmachen und sehen was das Programm macht und hat. Bei geschlossener Software wie z.B. bei der Funktion von Windows, kann man nicht schauen was das Ding macht und wie es gestaltet ist. Man muss also darauf hoffen, dass das Unternehmen wirklich Sicherheit gewährleistet. Bei verschiedenen Fällen in letzter Zeit hat man allerdings erhebliche Zweifel inwiefern die US-Regierung landesinterne Unternehmen dazu zwingen Hintertürchen offen zu lassen. Zum einen kann dann der Staat/das Unternehmen alles damit machen (auch an andere Staaten/Unternehmen Informationen weitergeben), zum anderen ist da natürlich eine Lücke die auch von sonstigen Bösewichten genutzt werden kann. Also möglichst auf offene Software setzen, falls das nicht geht, tendiere ich aktuell zu deutschen Unternehmen. Meiner Ansicht nach ist hier das Datenschutzverständnis weltweit am ausgeprägtesten und dementsprechend am sichersten. Das bedeutet aber auch, dass man sich mal Gedanken machen sollte ob man Internet Explorer und Chrome nutzt, oder doch lieber Mozillas Firefox.

Datenübertragung

Bei der Übertragung handelt es sich (soweit mir nichts entfällt) um Informationsübertragung auf Webseiten oder mit Webdiensten (z.B. Formulare ausfüllen und abschicken) und um Messenger bzw. E-Mail. Ersteres wird mit einem SSL Zertifikat verschüsselt. Zu erkennen an einem “https” an Stelle von “http” in der Browserleiste. Oft gibt es die https-Variante, aber wird nicht genutzt, weil es vom Serverbetreiber nicht so eingestellt wurde. Dies kann man erzwingen mit Hilfe von HTTPS Everywhere. Man kann es für Chrome, Firefox, Opera und sogar Android installieren. Das Plugin überprüft ob https möglich ist und falls ja, nutzt dies auch. Viele Plus, eigentlich gar keine Minus. Zum Thema Laufzeit: www.httpvshttps.com. Zudem kommt bald der Nachfolger von HTTP – HTTP/2, welcher (meiner Schätzung nach) das Web um 30% schneller macht und das wird anscheinend nur unter HTTPS verwendet. Also gibt es keinen Grund dies nicht zu tun.

Bei E-Mails unterscheidet man zwischen dem Browser und einem E-Mail Klienten. Im Browser immer darauf achten ob https möglich ist, ansonsten beim Anbieter informieren ob die E-Mails verschüsselt werden und ob man es manuell einstellen muss. Einfach Google mal verwenden. Prinzipiell allerdings immer E-Mail Klienten (wie z.B. Outlook oder Thunderbird) vorziehen, weil dann die Mail erst gar nicht unverschlüsselt gespeichert werden kann. Die Verschlüsselung der Kommunikation kann man hier beim einrichten manuell konfigurieren bzw. auch bei schon eingerichteten nachkonfigurieren. Einfach in den Konteneinstellungen ein wenig suchen und für Postein- und -ausgang die Verschüsselung (wie z.B: TLS) wählen. Die Laufzeit ist zu vernachlässigen. Auch keine Nennenswerten Nachteile. Beachtet aber, dass die E-Mails meist irgendwo auf eurem PC gespeichert werden. Meist unverschlüsselt.

Datensicherung

Bei der Datensicherung geht es vor allem um das wo und wie. Wo lege ich die Daten ab und wie lege ich die Daten ab. Beim “wo” geht es darum ob es auf dem eigenen PC ist, oder doch bei einem externen Anbieter wie beispielsweise Dropbox. Beim “wie” geht es darum, ob die Dateien verschlüsselt werden oder nicht. Bedenkt: Wer unverschlüsselt bei Dropbox seine Daten ablegt, und ein unknackbares Passwort hat, der ist noch lange nicht vor allem sicher. Siehe Fälle von Microsofts OneDrive die da sehr gerne mit Regierungen zusammenarbeiten.

Zuerst das “wo”. Einfach irgendwo Daten ablegen ist nie sicher. Geht der Laptop verloren ist es keine Schwierigkeit das Passwort zu umgehen. Schutz fast 0. Der Schutz ist eher dazu da, dass man seinen Laptop mal kurz vor jedem willkürlichen Menschen schützen kann ohne, dass dieser längere Zeit Zugriff auf den PC hat. Ansonsten ist es bei Cloud-Anbietern immer gut ein ordentliches Passwort zu nutzen. Aber hier ist man auch nicht unbedingt sicher. Was ganz gut klappt ist aber eine private Cloud durch ownCloud beispielsweise. Teilweise hat man hier mehr Funktionen als bei bekannten Varianten wie Dropbox und auch ansonsten scheint das Ding nach einem kleinen Test rigoros zu funktionieren. Was man braucht ist allerdings ein eigener Server im Web und bestenfalls Kenntnisse grob mit FTP und der Erstellung einer Datenbank. Wirkliche Serververwaltungskenntnisse braucht man nicht. Ist eher wie WordPress zu installieren (wem das was sagt). Gibt aber auch Hoster die das direkt anbieten. Lohnt sich mal nach Anbietern zu googlen. Ansonsten kann man auch mit externen Festplatten seine eigene Cloud zuhause aufsetzen, welche aber vor dem Worst-Case-Szenario “die Bude fackelt ab” auch nicht hilft. Nja, das muss dann jeder selbst wissen.

Das “wie” ist schon komplizierter. Hier sollte man nicht nur an den Laptop/PC denken, sondern auch an sein Smartphone. Und wenn man ganze Dateien und am besten noch Dateinamen verschlüsselt frisst das ordentlich Leistung! Kann von ein paar Sekunden mehr bis hin zu Minuten mehr sein. Ordner mit großen Mengen an Dateien brauchen hier deutlich länger! Das sollte man vorher unbedingt mal testen. Hier hilft Tests und Erfahrungsberichte im Internet nachzuschauen. Mein Fazit kurz: Boxcryptor ist ganz nice! Lässt sich zusätzlich auch mit Dropbox oder ownCloud verwenden und ist von der Performance her recht gut. Nachteil: Kein freier Code. Vorteil im Nachteil: Deutsches Unternehmen.

Bei Smartphones schauen ob es Verschlüsselungsmöglichkeiten gibt. Android bietet eine beispielsweise. Inwiefern die Performance hier Ausschläge gibt hab ich leider selbst noch nicht getestet, werde ich aber mal in nächster Zeit. Hier geht es glaube ich kaum um “normale Dateien”, sondern mehr um Kontakte, Termine, etc.

Sonstiges Wichtiges

Messenger wie Whatsapp – kritisch. Schwer andere Leute oft auf eine andere Plattform zu bekommen, da es sich um einen Dienst handelt der von einer kritischen Nutzermasse lebt und deshalb auch genutzt wird. Wegen einer Person eine andere App zu nutzen mag teilweise komisch sein – vor allem wenn die Person auch Whatsapp hat siegt oft die Faulheit. In Organisationen, Unternehmen, Gruppierungen etc. kann man versuchen für bestimmte Zwecke eben einen bestimmten Messenger zu ntuzen. Wer ganz auf Whatsapp verzichten möchte, muss meist auch auf Kommunikation mit Freunden verzichten.

Fazit

  • Firefox verwenden wenn möglich (ist absolut kein grausamer Browser)
  • HTTPS Everywhere installieren (auch auf dem Smartphone)
  • TLS bei E-Mail-Klient einstellen (PC/Notebook sowie Smartphone)
  • (Cloud Anbieter nach Organisation, Speicherort und Ländersitz abwägen)
  • Allgemeine Datenverschlüsselung testen und stark abwägen. Ansonsten Empfehlung: Boxcryptor (Deutsch, für Cloud und vergleichsweise schnell).
  • Whatsapp abwägen. Freundschaften vs. Datensicherheit.

Password Complexity Reminder

Gerade auf 9gag gefunden:

Why-cant-every-site-be-this-way

 

Mal davon abgesehen, dass manche Passwortvorgaben überhaupt keinen Sinn machen, ist es, wenn man Vorgaben macht, doch eine sehr gute Idee diese beim Login mit anzugeben (vielleicht nach dem ersten falschen Login via JavaScript).

Ich erinnere mich sehr gut an Seiten die Sonderzeichen zur Pflicht machen bei der Passwortwahl, allerdings die Sonderzeichen auf 3 oder 4 ausgewählte Zeichen (??) beschränken. Findet man selten, aber immer wieder. Dann lieber gleich alles zulassen, oder zumindest alle Zeichen, welche auf einer normalen Tastatur zu finden sind.

Easy and free basics for websites

Immer mal wieder komme ich in den Genuss eine neue Website erstellen zu dürfen. Mit der Zeit haben sich bei mir ein paar Basics für jede Website eingependelt, auf die ich absolut nicht verzichten will. Alle haben maximale Auswirkung und Nützlichkeit und sind teilweise in Minuten fertig gestellt und absolut kostenlos! Wer auf folgende verzichtet, hat hoffentlich eine gute Alternative oder ist selbst schuld.

  • Responsive Design/Bootstrap (getbootstrap.com)
    Responsive Design ist heutzutage eigentlich ein Must Have wenn eine Page neu aufgesetzt wird. Der Mehraufwand ist gerechtfertig in den allermeisten Fällen und Bootstrap ist definitiv hier der Vorreiter. Die Einarbeitungszeit ist vergleichsweise gering und das Framework bringt auch ansonsten ziemlich viele tolle Dinge mit. Einfach mal durchklicken und die Beispiele ausgiebig anschauen. Wer faul ist, kann sich auch veränderte Themes anschauen und nutzen – gibt unzählige Plattformen hierfür im Internet.
  • Icons/Font Awesome (fontawesome.io)
    Jede Website hat einen Bedarf an Icons. Sie schaffen Übersicht, optimieren die Struktur und verbessern die Optik. Font Awesome stellt hier unzählige Icons kostenlos zur Verfügung. Dazu kommt, dass diese perfekt mit Bootstrap kombinierbar sind. Auch hier: Beispiele und Icons mal anschauen. Das sollte erleuchtend wirken.
  • Real Favicons (realfavicongenerator.net)
    Ich denke wenn man sich die kleine Beschreibung anschaut, erkennt man sehr schnell den Wert. Ein Favicon zu haben ist klasse. Ordentliche Favicons für jede technische Situation in unterschiedlichen Größen – fantastisch!
  • Meta Data for Facebook (http://tinyurl.com/nezr8o4)
    Da Webseiten auch gerne auf Facebook geshared werden, sollte man sich über die Auswirkungen bewusst sein. Der Text und das kleine Bild, das beim teilen in Facebook angezeigt wird, kann man steuern. In dem oben genannten Artikel steht wie es geht. Wenn man nicht drauf achtet, dann steht meist nur Müll in der Miniaturvorschau und das Bild ist eher random von der Seite gezogen, was teilweise lustige Ausmaße annimmt. Im Artikel ist auch ein Link dabei, unter dem man seine Änderungen direkt in Facebook testen und den Facebook Cache für die Page resetten kann.

Three.js – OffLoader

Da ich während meiner Masterarbeit viel mit *.off Dateien zu tun hab und hierfür auch ein Web-Frontend bastle, hatte ich immer das Problem, dass die im Browser nicht einfach so darzustellen sind. Hier hilft three.js weiter. Dazu noch OrbitControls.js um die 3D-File im Browser mit der Maus zu drehen und zu wenden.

Allerdings muss auch three.js die *.off Datei erstmal lesen können. Einen ObjLoader gibts schon, Verwandte Dateitypen auch. Nur OffLoader findet man keinen ordentlichen. Wenn man überhaupt einen findet, dann ist meist die Qualität so schlecht, dass man das Gefühl hat der Browser ist beim rendern eines Quaders schon überfordert.

Durch einen Kollegen und mich ist dann der OffLoader entstanden. Er hat ein tolles grobes Konstrukt dafür erstellt, ich hab das ganze ein wenig entschlackt, optimiert und die OrbitControls hinzugefügt. Viel Spaß bei der Verwendung. Ich versuch bei Gelegenheit die Dateien mal ein wenig zu verallgemeinern und n Showcase bereitzustellen. By now: have fun.

OffLoader Download

Anmerkungen: Aktuell ist mit JavaScript noch links ein Auswahlmenü reingebastelt (werde ich bei Gelegenheit wegwischen, damit die Datei einfacher zu nutzen ist). Hier kann man durch klicken den jeweiligen Scan im schwarzen Fenster rechts laden. Den Dateipfad inkl. Dateinamen passt ihr in der index.php in Zeile 24 und 27 an. Wenn es mal nicht funktioniert, denkt dran, dass das Konstrukt auch out of sight sein könnte. Hier bitte die Kamera und/oder die Objektposition in der init()-Funktion anpassen. 

27 People Share The One Cool Internet Or Computer Trick They Know

Immer wieder landen irgendwelche wichtigen Shortcuts, Tipps & Tricks oder sonstiges im Browser. Meist sieht man schon beim überfliegen, dass sie für nen fortgeschrittenen PC-/Internetnutzer keine News sind. Anders hier: Die wichtigsten Tricks wurden hier von Reddit-Usern rausgefiltert und sind definitiv nen Blick wert:

27 People Share The One Cool Internet Or Computer Trick They Know

Askreddit Thread